APT 组织将目标锁定Linux
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
卡巴斯基全球研究分析团队 (GReAT) 研究发现,过去八年来,APT 组织针对 Linux 资源的攻击活动稳步增长,越来越多的 APT 组织正在创建工具甚至是平台来攻击运行 Linux 软件的设备。为此,该研究团队分享了相关攻击详情,并解释了关于 Linux 安全性的偏见以及组织机构应如何更好地保护 Linux 机器的安全。
很多人认为Linux操作系统是安全的,不易受恶意代码侵扰。这一偏见植根于网络犯罪分子对 Linux 桌面和服务器的恶意软件更少且兴趣更小。我们见过很多关于 Windows 系统的针对性攻击文章。Windows 平台也是卡巴斯基找到最多 APT 攻击工具的地方。
虽然 Linux 尚未像 Windows 系统那样遭到病毒、蠕虫和木马的大规模攻击,但研究人员强调称它依然是具有吸引力的目标。虽然网络攻击者编写了针对 Linux 的 PHP 后门、rootkit 和 exploit 代码,但很多企业并不担心。
这种情况是危险的。它导致信息安全部门和软件厂商的安全团队对这个问题的重视程度减少,使得组织机构对 Linux 桌面、服务器和 IoT 的可见性更低且防御工具更少。
卡巴斯基 GReAT 团队的研究员 Yury Namestnikov 指出,“虽然并非所有的组织机构皆如此,但遗憾的是在很多时候都是这种情况。当我们开始谈论能够轻易见到的目标攻击时,几乎所有严肃的威胁行动者都具有一些出其不意的工具,用于入侵并控制运行 Linux 的机器。”
APT 组织为何选择 Linux 而非 Windows 的理由很多,其中一个关键因素是容器化趋势,它也是Linux得到应用的驱动力。机器通常能够从互联网访问且可以作为攻击者的初始切入点。虚拟化和容器化的趋势意味着几乎所有的企业都在一些日常任务中使用 Linux。
比起 Windows 系统,很多组织机构更多使用的是 Linux 和 macOS 设备,这使得攻击者别无选择。IT公司、电信运营商和政府部门皆如此。在一些地区,很多桌面环境都有使用 Linux 系统的趋势,尤其是在政府和国防部门如土耳其等。
卡巴斯基的遥测数据表明,服务器是这些攻击的最常见目标,其次是企业IT和网络设备,之后是工作站。在一些情况下,攻击者使用受陷路由器、运行 Linux 作为位于同样网络中对 Windows 植入的命令和控制服务器。
报告指出,服务器应当是需要注意的主要目标。基于 Linux 的服务器具有战略意义,因此也成为攻击热门。如果攻击者能够攻陷一台 Linux 服务器,那么就能访问服务器数据并攻击运行可能与之连接的 Windows 或 macOS 的端点。
不断演进的威胁
Namestnikov 指出,攻击者已经修改了 Linux 恶意软件以及针对 Linux 设备的攻击。当他们最开始编写恶意软件时,他们的目的是操纵网络流量。例如,威胁行动者 Cloud Snooper就曾使用面向服务器的 Linux 内核 rootkit hookNetfilter 流量控制功能和命令和控制通信来绕过目标防火墙。
研究人员指出,Barium/APT41 组织的某些目标也如此。该组织从2013年开始攻击游戏企业获取经济利益;之后开发新工具并攻击更为复杂的目标。它使用Linux 恶意软件 MessageTap 来拦截源自电信提供商基础设施中的SMS 消息。
针对 Linux 的APT 组织经常使用可从基于 Linux 服务器和桌面的合法工具,例如,能够编译代码或运行 Python 脚本的工具,以此减少在日志中的记录。最令人担忧的是,他们能够在 Linux 设备上隐藏,并随时折返。
Namestnikov 解释称,攻击者可以感染 IoT 或网络盒子,或者替代受限服务器上的合法文件。由于这些服务器并不经常更新而且在很多情况下并未安装反病毒软件,因此发现这些替代件的时候为时已晚。
虽然比起 Windows 而言,Linux 受攻击的频率更低,但研究人员建议企业采取步骤防御攻击。首先应当列出可信的软件来源且仅从官方商店中安装应用程序。Linux 可能会提供更多自由,但组织机构应当明智地下载软件。
此外,他们还建议检查网络设置并避免不必要的网络应用程序。同时建议组合以机构正确地配置防火墙,过滤流量并存储主机的网络活动。其它建议包括保护用于网络服务的本地存储 SSH密钥的安全,并为 SSH 会话设立多因素认证机制。
完整报告请见:
https://securelist.com/an-overview-of-targeted-attacks-and-apts-on-linux/98440/。
推荐阅读
攻击者可提前检测到 Linux 内核的补丁并开发 exploit
FBI 和 NSA 披露俄罗斯国家黑客使用的 Linux 恶意软件
APT组织 Evilnum 使用新型 Python APT 攻击金融企业
原文链接
https://www.darkreading.com/attacks-breaches/-apt-groups-set-sights-on-linux-targets-inside-the-trend/d/d-id/1338898
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
APT 组织将目标锁定Linux相关推荐
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- APT组织最喜欢的工具 Cobalt Strike (CS) 实战
一.Cobalt Strike 背景 Cobalt Strike 在威胁攻击者的恶意活动中的使用次数正在增加.从 2019 年到 2020 年,使用Cobalt Strike 的威胁攻击者增加了 16 ...
- 隐身9年的俄罗斯APT组织XDSpy及其XDDown攻击链分析
隐身9年的俄罗斯APT组织XDSpy及其XDDown攻击链分析 样本分析 执行流程 样本详细分析 钓鱼邮件恶意附件PPSX 自动播放的恶意对象MicrosoftPowerPoint.js 脚本对象释放 ...
- 【网络间谍篇】这些知名APT组织,背后都有国家级机构支持
近年来,随着地缘冲突和贸易冲突的加剧,网络安全攻击成为了继"海.陆.空.天"后的另一大战场,继而催生出越来越多的国家级APT攻击组织. 每个国家级的APT攻击组织的目的都不尽相同, ...
- 技术报告:APT组织Wekby利用DNS请求作为CC设施,攻击美国秘密机构
技术报告:APT组织Wekby利用DNS请求作为C&C设施,攻击美国秘密机构 最近几周Paloalto Networks的研究人员注意到,APT组织Wekby对美国的部分秘密机构展开了一次攻击 ...
- 【安全漏洞】朝鲜InkySquid APT组织是怎么利用浏览器漏洞感染受害者
朝鲜InkySquid APT组织利用浏览器漏洞感染受害者. 2021年4月,Volexity研究人员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]servic ...
- linux中运行ifconfig出现错误,不能sudo apt install net-tools,Linux不能联网
linux中运行ifconfig出现错误,且不能sudo apt install net-tools linux中运行ifconfig出现错误 不能sudo apt install net-tools ...
- linux急救模式_抢救Linux:我如何将组织介绍给Linux
linux急救模式 1998年,我管理了明尼苏达大学新网络团队的服务器管理小组. 密西根大学是一个非常大的机构,在所有系统校区中有60,000多名学生. 在那之前,大学在老化的大型机系统上管理学生记录 ...
- 新型APT组织正在攻击全球的政府实体
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ESET 公司称发现一个新型 APT 组织正在攻击全球范围内的实体,该组织被命名为 "FamousSparrow". 该 A ...
最新文章
- IOS之同步请求、异步请求、GET请求、POST请求(转)
- python 笔记 pickle json
- activiti7 和业务_上市公司区块链业务终于赚钱了!营收增长3886.03%
- 【Linux环境下安装Maven与环境配置简易教程】
- [转] 使用Docker容器,这些错误千万别犯
- ENSP配置 实例二 单臂路由配置
- 《神奇的数学》读后感_数学家的眼光读后感
- Win8.1部署 .NET Framework 3.5 安装方式汇总
- SS导航菜单水平居中的多种方法
- 【网格压缩测评】MeshQuan、MeshOpt、Draco
- vscode遇到无法访问此网站问题的两种解决方法
- 华为mate40pro有没有鸿蒙,mate40pro不能升级鸿蒙吗?我啥也不懂,完蛋了
- UIImageView视图内容按比例缩小并淅淅隐去
- 航班管理系统(最全最细)
- 废旧电脑改装个人服务器
- 【Android 自定义控件】2.画布的基础使用
- C++ vector内存分配机制
- 数据库概念结构设计阶段的4个工作步骤-
- docker 相关操作 nexus 清理空间 gitlab 修改下载地址
- 医药电商:医药行业正加速互联网化
热门文章
- 浏览器中打开IOS应用并传参
- 框架学习之Spring 第四节 Spring集成JDBC组件开发
- 关于 IE 模态对话框的两个问题
- $$\int_0^{nh}x(x-h)\cdots (x-nh)dx=h^{n+2}\int_0^nx(x-1)\cdots (x-n)dx$$
- 轻量型thttpd+php5
- VS2008 调试Web网站,出现找不到Microsoft Internet Explorer的解决方法
- 面向 Android* Jelly Bean 4.3 的英特尔® 凌动™ x86 映像安装指南 - 推荐
- android:layout_gravity和android:gravity
- Android手机中第三方签名应用程序无法获得的permission
- 向数据库插入中文乱码